2.扩展访问控制列表的访问控制列表号是从0到99。（)

A．IP标准访问控制列表根据源网络或目的网络、子网或主机的IP地址来决定对数据包的过滤

B．IP标准访问控制列表的功能有很大的局限性

C．IP标准访问控制列表的配置比较简单

D．IP标准访问控制列表的表号范围是1—99，后来又进行了扩展，扩展的表号是1300～1999

A.交换机上可以执行编号形式的访问控制列表

B.21系列二层交换机上不能配置访问控制列表

C.交换机上只能采用扩展访问控制列表

D.交换机上必须采用命令方式的访问控制列表

【问题1】(共5分） 为了保障网络安全，该公司安装了一款防火墙，对内部网络、服务期以及外部网络进行逻辑隔离，其网络结构如图2-1所示。 包过滤防火墙使用ACL实现过滤功能，常用的ACL分为两种，编号为（1）的ACL根据IP报文的（2）域进行过滤，称为（3）；编号为（4）的ACL根据IP报文中的更多域对数据包进行控制，称为（5）. (1)~(5) 备选项: A. 标准访问控制列表 B. 扩展访问控制列表 C. 基于时间的访问控制列表 D.，1&39;"99 E. 0-99 F. 100-199 G.目的的IP地址 H.源IP地址 . I.源端口 J.目的端口 【问题2 】(共6分） 如图2-1所示，防头墙的三个端口，端口⑥是（6）、端口⑦是 (7) 、端口⑧是（8）。 (6）~（8) 是备选项 A. 外部网络 B. 内部网络 C. 非军事区 【问题3 】(共9分） 公司内部E地址分配如下 表2-1 部门/服务器 IP地址段 财务部门 192.168.9.0/24 生产部门 192.168.10.0/24 行政部门 192.168.11.0/24 财务服务器 192.168.100.1/24 Web服务器 10.10.200.1/24 1.为保护内网安全，防火墙的安全配置要求如下 (1)内外网用户均可访问 Web 服务器，特定主机 200.120.100.1 可以通过 Telnet访问 Web 服务器。 (2)禁止外网用户访问财务服务器，禁止财务部门访问 Intemet ，允许生 产部门和行政部门访问Intemet 。 根据以上需求，请按照防火墙的最小特权原则补充完成表 2-2: 表2-2 序号 源地址 源端口 目的地址 目的端口 协议 规则 1 Any Any （9） （10） WWW 允许 2 （11） Any 10.10.200.1 （12） telnet 允许 3 （13） Any Any Any Any （14） 4 Any Any Any Any Any （15） 2.若调换上面配置中的第 3条和第4条规则的顺序，则（16） （16）备选项： A. 安全规则不发生变化 B. 财务服务器将受到安全威胁 C. Web服务器将受到安全威胁 D. 内网用户将无法访问Intemet 3. 在上面的配置中，是否实现了"禁止外网用户访问财务服务器"这条规则？

【问题1】（每空1分，共7分） 常用的 IP 访问控制列表有两种，它们是编号为（1）和 1300~1399 的标准访问控制列表和编为（2）和 2000~2699 的扩展访问控制列表、其中，标准访问控制列表是根据 IP 报的（3）来对 IP 报文进行过滤，扩展访问控制列表是根据 IP 报文的（4）、（5）、上层协议和时间等来对 IP 报文进行过滤。一般地，标准访问控制列表放置在靠近（6）的位置，扩展访问控制列表放置在靠近（7）的位置。 【问题2】（每空1分，共10分） 为保障安全，使用ACL对网络中的访问进行控制。访问控制的要求如下： (1)家属区不能访问财务服务器，但可以访问互联网； (2)学生宿舍区不能访问财务服务器，且在每天晚上18:00～24:00禁止访问互联网； (3)办公区可以访问财务服务器和互联网； (4)教学区禁止访问财务服务器，且每天8:00～18:00禁止访问互联网。 1．使用ACL对财务服务器进行访问控制，请将下面配置补充完整。 R1(config)access-list 1 （8） （9） 0.0.0.255 R1(config)access-Iist 1 deny 172.16.10.0 0.0.0.255 R1(config)access-list 1 deny 172.16.20.0 0.0.0.255 R1(config)access-Iist 1 deny （10） 0.0.0.255 Rl(config)mterface （11） R1(config-if)ip access-group 1 （12） 2．使用ACL对Internt进行访问控制，请将下面配置补充完整。 Route-Switch(config)time-range jxq ∥定义教学区时间范围 Route-Switch(config-tune-range) periodic daily （13） Route-Switch(config)time-range xsssq //定义学生宿舍区时间范围 Route-Switch(config-time-range)periodic （14） 18:00 t0 24:00 Route-Switch(config-time-range)exit Route-Switch(config)access-list 100 permit ip 172.16.10.0 0.0.0.255 any Route-Switch(config)access-list 100 permit ip 172.16.40.0 0.0.0.255 any Route-Switch(config)access-list 100 deny ip （15） 0.0.0.255 time-range jxq Route-Switch(corffig)access-list 100 deny ip （16） 0.0.0.255 time-range xsssq Route-Switch (config)interface （17） Route-Switch(config-if)ip access-group 100out 【问题3】（每空1分，共3分） 网络在运行过程中发现，家属区网络经常受到学生宿舍区网络的DDoS攻击，现对家属区网络和学生宿舍区网络之间的流量进行过滤，要求家属区网络可访问学生宿舍区网络，但学生宿舍区网络禁止访问家属区网络。 采用自反访问列表实现访问控制，请解释配置代码。 Route-Switch(config)ip access-hst extended infilter Route-Switch(config-ext-nacl)permit ip any 172.16.20.0 0.0.0.255 refiect jsq （18） Route-Switch(config-ext-nacl)exit Route-Switch(config)ip access-list extended outfilter Route-Switch(config-ext-nacl) evaluate jsq （19） Route-Switch(config-ext-nacl)exit Route-Switch(config)interface fastethernet 0/1 Route-Switch(config-if)ip access-group infilter in Route-Switch(config-if)ip access-group outfilter out //（20）

A．规则序列号是2，禁止到172.16.1.10主机的所有主机不可达报文

B．规则序列号是2，禁止从172.16.1.10主机来的所有主机不可达报文

C．规则序列号是2，禁止到172.16.0.0/16网段的所有主机不可达报文

D．规则序列号是2，禁止从172.16.0.0/16网段来的所有主机不可达报文

A.acl1 rule deny source1.1.1.1

B.acl1 rule permit any

C.acl1 permit 1.1.1.102.2.2.20.0.0.255

D.acl99 rule deny tcp source any destination2.2.2.20.0.0.255

A．0.0.0.0

B．255.255.255.254

C．255.255.255.255

D．所使用的子网掩码的反码

A.1和2的范围相同

B.1的范围在2的范围内

C.2的范围在1的范围内

D.1和2的范围没有包含关系